阻止访问资源的危险IP

时间:2013-03-28 15:29:29

标签: c# asp.net wcf security iis

环境

我的IIS托管带有WebService资源的WebApp。

  • ...
  • myWebService.asmx
  • myWebService.svc
  • ...

问题

同样的坏人,试图阻止服务器使用他们的机器人访问公共资源。

应用解决方案

  1. 我构建一个过滤器: 

    public class BadGuysFilter
{
    private class BadGuy
    {
        public BadGuy()
        {
            Visits = 0;
            FirstSuspiciousVisit = DateTime.Now;
        }

        public int Visits;
        public DateTime FirstSuspiciousVisit;
    }

    private static volatile Dictionary<string, BadGuy> _blackList = new Dictionary<string, BadGuy>();
    private static int _visitsLimit = 10;
    private static int _minutsLimit = 10;
    private static int _removeFromBlackListMinutesLimit = 30;

    public static void Init(int visitsLimit = 10, int minutsLimit = 10, int removeFromBlackListMinutesLimit = 30)
    {
        _visitsLimit = visitsLimit;
        _minutsLimit = minutsLimit;
        _removeFromBlackListMinutesLimit = removeFromBlackListMinutesLimit;
    }

    public static bool IsBadGuy()
    {
        return IsBadGuy(HttpContext.Current.Request.UserHostAddress);
    }
    public static bool IsBadGuy(string ip)
    {
        if (HttpContext.Current.Request.IsAuthenticated /*|| HttpContext.Current.Request.HttpMethod.ToUpper() == "POST"*/)
            return false;

        if (_blackList.Keys.Any(k => k == ip))
        {
            _blackList[ip].Visits++;

            if (_blackList[ip].FirstSuspiciousVisit < DateTime.Now.AddMinutes(-_removeFromBlackListMinutesLimit))
                _blackList.Remove(ip);
            else if (_blackList[ip].FirstSuspiciousVisit < DateTime.Now.AddMinutes(-_minutsLimit))
            {
                _blackList[ip].Visits = 0;
                _blackList[ip].FirstSuspiciousVisit = DateTime.Now;
            }
            else if (_blackList[ip].Visits > _visitsLimit)
            {
                _blackList[ip].FirstSuspiciousVisit = DateTime.Now;
                return true;
            }
        }
        else
            _blackList.Add(ip, new BadGuy());

        return false;
    }
    public static void Punish()
    {
        var res = HttpContext.Current.Response;
        res.Clear();
        res.StatusCode = 429;
        res.StatusDescription = "TOO MANY REQUESTS: Your application is sending too many simultaneous requests.";
        res.End();
    }
}

  2. Global.asax 中使用过滤器 

    void Application_BeginRequest(object sender, EventArgs e) {
    if(BadGuysFilter.IsBadGuy())
        BadGuysFilter.Punish();

    // do stuff //
}

void Application_EndRequest(object sender, EventArgs e) {
    var app = (HttpApplication)sender;

    if (app.Context.Response.StatusCode == 429) // "TOO MANY REQUESTS"
        return;

    // do stuff //
}

    3. 问题

    这是一个足够安全的解决方案吗?或者还有另一种方式?

    Edite: “不要阻塞资源本身。阻止更远的上游,例如在防火墙上。 - Marc B” 你是对的。这是最终解决方案,但在应用之前,我需要中间解决方案来保护我的服务器。我忘了提这件事。 - Artiom

2 个答案:

答案 0 :(得分:5)

您可以使用IIS动态IP限制模块(来自Microsoft):

http://www.iis.net/downloads/microsoft/dynamic-ip-restrictions

答案 1 :(得分:0)

我同意上述评论。您需要进一步阻止ddos上游,否则您的应用程序仍将为每个请求提供服务。

这种方法似乎缺乏持久性。因此,当他们轰炸您的系统并重新启动应用程序池时,它将重置。另一方面,防火墙apprach缺乏在一定时间后删除的灵活性......我想。

也就是说,如果您需要处理不同性质的可疑请求,例如对登录页面的请求太多而不是主页或其他内容,那么这可能是一个可行的解决方案。

实际上只是考虑所有目标并了解风险和限制。

相关问题
最新问题